Recopila registros del interruptor Aruba
Este analizador extrae campos de los mensajes de syslog del interruptor Aruba con patrones de grok y los asigna al modelo de UDM. Controla varios campos, como marcas de tiempo, nombres de host, nombres de aplicaciones, IDs de procesos, IDs de eventos y descripciones, y propaga los campos de la AUA relevantes. El tipo de evento se establece en función de la presencia de información principal.
Antes de comenzar
- Asegúrate de tener una instancia de Google Security Operations.
- Asegúrate de tener Windows 2016 o una versión posterior, o un host de Linux con systemd.
- Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
- Asegúrate de tener acceso de administrador al interruptor Aruba.
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recopilación.
- Descarga el archivo de autenticación de transferencia.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de BindPlane
- Para la instalación de Windows, ejecuta la siguiente secuencia de comandos:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- Para la instalación de Linux, ejecuta la siguiente secuencia de comandos:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- Puedes encontrar opciones de instalación adicionales en esta guía de instalación.
Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps
- Accede a la máquina en la que está instalado BindPlane.
Edita el archivo
config.yaml
de la siguiente manera:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: aruba_switch raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
Reinicia el agente de BindPlane para aplicar los cambios:
sudo systemctl restart bindplane
Configura Syslog en el interruptor Aruba
Conéctate al interruptor Aruba a través de Console:
ssh admin@<switch-ip>
Conéctate al interruptor Aruba a través de una interfaz web:
- Ve a la GUI web del interruptor Aruba.
- Autentícate con las credenciales de administrador del interruptor.
Habilita Syslog con la configuración de la CLI:
Ingresa al modo de configuración global:
configure terminal
Especifica el servidor syslog externo:
logging <bindplane-ip>:<bindplane-port>
Reemplaza
<bindplane-ip>
y<bindplane-port>
por la dirección de tu agente de bindplane.
Opcional: Establece el nivel de gravedad de registro:
logging severity <level>
Opcional: Agrega un identificador (etiqueta) personalizado de la fuente de registros:
logging facility local5
Guarda la configuración:
write memory
Habilita Syslog con la configuración de la interfaz web:
- Accede a la interfaz web del interruptor Aruba.
- Ve a Sistema > Registros > Syslog.
- Agrega los parámetros del servidor de syslog:
- Ingresa la dirección IP de Bindplane.
- Ingresa el puerto de Bindplane.
- Establece el nivel de gravedad para controlar la verbosidad de los registros.
- Haz clic en Guardar.
Tabla de asignación de UDM
Campo de registro | Asignación de UDM | Lógica |
---|---|---|
app |
principal.application |
El valor del campo app del registro sin procesar se asigna directamente a principal.application . |
description |
security_result.description |
El valor del campo description del registro sin procesar se asigna directamente a security_result.description . |
event_id |
additional.fields.key |
La cadena "event_id" se asigna a additional.fields.key . |
event_id |
additional.fields.value.string_value |
El valor del campo event_id del registro sin procesar se asigna directamente a additional.fields.value.string_value . |
host |
principal.asset.hostname |
El valor del campo host del registro sin procesar se asigna directamente a principal.asset.hostname . |
host |
principal.hostname |
El valor del campo host del registro sin procesar se asigna directamente a principal.hostname . |
pid |
principal.process.pid |
El valor del campo pid del registro sin procesar se asigna directamente a principal.process.pid . |
ts |
metadata.event_timestamp |
El valor del campo ts del registro sin procesar se convierte en una marca de tiempo y se asigna a metadata.event_timestamp . La marca de tiempo también se usa para el campo timestamp de nivel superior en la UDM. metadata.event_type se establece en "STATUS_UPDATE" porque la variable principal_mid_present se establece en "true" en el analizador cuando el campo host está presente en el registro sin procesar. La cadena "ARUBA_SWITCH" se asigna a metadata.product_name dentro del analizador. La cadena "ARUBA SWITCH" se asigna a metadata.vendor_name dentro del analizador. El analizador intenta extraer y analizar el usuario-agente del registro sin procesar con client.userAgent.rawUserAgent . Si se realiza correctamente, el usuario-agente analizado se asigna a network.http.parsed_user_agent . Sin embargo, como los registros sin procesar proporcionados no contienen este campo, es probable que este campo de la UDM esté vacío. El analizador intenta extraer el usuario-agente sin procesar del registro sin procesar con client.userAgent.rawUserAgent . Si se realiza correctamente, el usuario-agente sin procesar se asigna a network.http.user_agent . Sin embargo, como los registros sin procesar proporcionados no contienen este campo, es probable que este campo de la UDM esté vacío. |
Cambios
2024-04-18
- Sin embargo, el analizador se creó recientemente.